HARD CORE SECURITY LAB

Atlassian, znany i ceniony producent narzędzi przeznaczonych dla inżynierów oprogramowania oraz rozwiązań wspierających pracę grupową w korporacjach, został w ostatnim czasie zhakowany. Co gorsza, w ręce crackerów prawdopodobnie wpadła baza danych zawierająca poświadczenia części klientów tej firmy zapisane w postaci jawnej...

Wszyscy klienci firmy Atlassian otrzymali wczoraj wiadomość e-mail o następującej treści:

We are sending you this message because we experienced a security breach and suspect that your Atlassian customer account password details (only) may have been compromised.
It is very unlikely that an unauthorised user has had the opportunity to log in to your account so far and if they have, there is very little in the way of personal information which could have been accessed. However, to minimise any further risk to your Atlassian account being compromised, we strongly recommend that you change your Atlassian account password as soon as possible using the procedure below.

Be aware that this security issue only affects Atlassian customers who created an Atlassian account and purchased one of our products before June 2008. Since then, we have been using a more secure user management system based on Atlassian's Crowd product. When you change your Atlassian account password using the procedure below, your Atlassian customer account details will be stored in our updated Crowd user management system, which will further minimise the chance of a security breach occurring in future.

Procedure for changing your Atlassian customer account password:

1) Login to http://my.atlassian.com
2) Click "My Profile" (3rd tab)
3) Click "Change Password" (in Contact Information section)
4) Update your password to a new value

Atlassian apologises for the inconvenience caused. However, this is an extremely rare event for us and since we take security issues seriously, we are taking every precaution possible to minimise the effects of this security breach.

Sincerely/Best regards,
Glenn Butcher
Director of IT

Informacja o incydencie pojawiła się również w ramach należącego do firmy profilu w serwisie Twitter. Wyjaśnienie całej sytuacji odnajdziemy natomiast na blogu firmy Atlassian.

Co się więc stało? Okazuje się, że w wyniku niedawnego włamania, w ręce crackerów mogła wpaść baza danych zawierająca poświadczenia części klientów Atlassiana zapisane w postaci jawnej. Dotyczy to ponoć wyłącznie kont użytkowników utworzonych przed czerwcem 2008 r. Dlaczego jednak Atlassian przechowywał część haseł w postaci jawnej? Sama firma przyznaje, że jest to wynikiem ogromnego zaniedbania:

Firstly, we made a big error. For this we are, of course, extremely sorry. The legacy customer database, with passwords stored in plain text, was a liability. Even though it wasn't active, it should have been deleted. There's no logical explanation for why it wasn't, other than as we moved off one project, and on to the next one, we dropped the ball and screwed up.

Wygląda więc na to, że hasła dostępowe użytkowników portalu http://my.atlassian.com były do czerwca 2008 r. przechowywane w postaci jawnej. Od czerwcu 2008 r., w wyniku wdrożenia systemu Atlassian Crowd, wszystkie poświadczenia były już przechowywane w postaci zaszyfrowanej. Niestety poprzednia baza danych, pomimo tego, że nie była już wykorzystywana do uwierzytelniania, nie została usunięta. Właśnie do tej bazy włamywacze potencjalnie uzyskali dostęp.

Pomimo, że problem dotyczy prawdopodobnie tylko niewielkiej części użytkowników, zachęcam każdego użytkownika witryny http://my.atlassian.com do zmiany hasła. Jeśli (wbrew powszechnym zaleceniom) korzystacie w wielu miejscach z tego samego hasła, pamiętajcie również o zmianie haseł broniących dostępu do innych usług.

Podsumowując, w całej sprawie godna podziwu jest jedynie otwartość, z jaką firma Atlassian przyznaje się do swych żenujących błędów. Z pewnością jednak incydent ten położy się cieniem na dotychczasowej nienagannej opinii klientów o firmie Atlassian. Jest to również kolejny argument za tym, by bezwzględnie w każdym z serwisów stosować odmienne hasło dostępowe.

[Informacje na temat tego interesującego incydentu jako pierwszy przekazał mi Michuk]